此合作伙伴解决方案会在 Amazon Web Services(AWS)Cloud 中部署 Okta Advanced Server Access(Okta ASA)。它面向部署和管理 Amazon Elastic Compute Cloud(Amazon EC2)实例的系统管理员。它可以帮助使用 Okta 软件保护远程访问并控制本地账户和权限。
部署此合作伙伴解决方案后,可通过 Okta 单点登录工作流对访问 Amazon EC2 实例进行身份验证和授权。此工作流可提供上下文多重验证,降低凭证被盗和滥用的风险。它也减少了围绕密钥建立更多控件和管理层的需要。
具体来说,此合作伙伴解决方案提供了一种机制,用于管理本地 EC2 实例用户和组账户及其机器级权限的生命周期。这些直接来源于 Okta Identity Cloud。当您使用 Okta ASA 作为 EC2 实例的身份验证机制时,您不需要依赖静态凭证来登录。相反,Okta 使用一个动态的、短暂的、一次性的访问令牌,该令牌直接与中央 Okta 身份数据库中用户的最低权限访问配置文件相关联。
您可以使用 Secure Shell(SSH)访问 Linux EC2 实例或使用 Remote Desktop Protocol(RDP)访问 Windows EC2 实例。默认情况下,此合作伙伴解决方案设置了 SSH 对 Linux EC2 实例的访问。
此合作伙伴解决方案由 Okta 与 AWS 合作开发。Okta 是 AWS 合作伙伴。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
此合作伙伴解决方案设置以下内容:
- 跨两个可用区的高度可用的架构。*
- 一个根据 AWS 最佳实践配置有公有子网和私有子网的 Virtual Public Cloud (VPC),用于在 AWS 上为您提供您自己的虚拟网络。*
- 在公有子网中:
- 托管网络地址转换 (NAT) 网关,允许对私有子网中的资源进行出站互联网访问。*
- Auto Scaling 组中的堡垒主机。此主机已安装 Okta 服务器代理。它共享一个配置,作为 SSH 访问私有子网中 EC2 实例的堡垒。
- 在私有子网中,设置 Auto Scaling 组中的 Linux EC2 实例(目标主机)。此目标主机已安装 Okta 服务器代理,并且配置为只能通过公用子网中的 Linux 堡垒主机访问。*
* 将此合作伙伴解决方案部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。
-
如何部署
-
要部署此合作伙伴解决方案,请遵循部署指南中的说明操作,其中包括这些步骤。
- 创建 Okta ASA 项目,并配置实例注册。
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
- 启动合作伙伴解决方案。堆栈部署时间约为 30 分钟。在创建堆栈之前,从顶部工具栏中选择 AWS 区域。选择以下任一方案:
- 测试部署。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
- 创建 Okta ASA 项目,并配置实例注册。
-
费用和许可证
-
此合作伙伴解决方案需要 Okta Advanced Server Access 的许可证。此产品由 Okta Identity Cloud 提供支持,用于用户和组管理、账户生命周期管理、单点登录和多重验证。
要在生产环境中使用合作伙伴解决方案,请注册 Okta ASA。按照说明创建由新的或现有 Okta 租户提供支持的 Okta ASA 租户。在 AWS Cloud 上部署软件不需要许可证文件。
您需要支付在运行此解决方案期间使用 AWS 服务和任何第三方许可证所产生的费用。使用此解决方案不会产生任何额外费用。
此解决方案包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署解决方案后,请创建 AWS 成本和使用情况报告,以跟踪相关成本。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?
